ToxicPanda Mobile Malware
Um novo tipo de malware bancário Android, chamado ToxicPanda, infectou mais de 1.500 dispositivos Android, permitindo que criminosos cibernéticos realizem transações bancárias fraudulentas. O objetivo principal do ToxicPanda é iniciar transferências de dinheiro não autorizadas de dispositivos comprometidos por meio de aquisição de conta (ATO) usando uma técnica conhecida como fraude no dispositivo (ODF). Esse método busca driblar medidas de segurança bancária projetadas para verificar as identidades dos usuários e detectar padrões de transações incomuns por meio de análise comportamental.
Os pesquisadores acreditam que o ToxicPanda se origina de um ator de ameaça de língua chinesa. O malware tem semelhanças notáveis com o TgToxic , outro malware para Android identificado no início de 2023. O TgToxic é capaz de roubar credenciais e fundos de carteiras de criptomoedas.
Índice
O ToxicPanda Tem como Alvo um Conjunto Diversificado de Países
A maioria das infecções foi observada na Itália (56,8%), seguida por Portugal (18,7%), Hong Kong (4,6%), Espanha (3,9%) e Peru (3,4%). Este é um caso incomum em que um agente de ameaça chinês tem como alvo usuários de serviços bancários de varejo na Europa e na América Latina.
Este Trojan bancário parece estar em seus estágios iniciais, com análises revelando que ele é uma versão reduzida de seu antecessor. Principais recursos como o Automatic Transfer System (ATS), Easyclick e rotinas de ofuscação foram removidos, enquanto 33 novos comandos foram adicionados para extrair uma gama mais ampla de dados.
Além disso, 61 comandos são compartilhados entre TgToxic e ToxicPanda, sugerindo que o mesmo agente de ameaça ou associados próximos provavelmente estão por trás dessa família de malware. Embora o ToxicPanda retenha algumas similaridades de comando de bot com a família TgToxic, seu código diverge significativamente. Várias funções típicas do TgToxic estão faltando, e alguns comandos parecem ser marcadores de posição sem nenhuma funcionalidade real.
Como o Trojan Bancário ToxicPanda Opera?
O malware se disfarça como aplicativos bem conhecidos como Google Chrome, Visa e 99 Speedmart, distribuídos por meio de sites falsos que imitam listagens legítimas de lojas de aplicativos. Ainda não está claro como esses links estão sendo compartilhados ou se técnicas como malvertising ou smishing estão envolvidas.
Uma vez instalado via sideloading, o ToxicPanda explora os serviços de acessibilidade do Android para obter permissões elevadas, automatizar entradas de usuários e capturar dados de outros aplicativos. Ele pode interceptar senhas de uso único (OTPs) enviadas via SMS ou aplicativos autenticadores, permitindo que invasores ignorem a autenticação de dois fatores (2FA) e concluam transações não autorizadas.
Além da coleta de dados, a função principal do malware permite que invasores controlem o dispositivo comprometido remotamente e executem fraudes no dispositivo (ODF), facilitando transferências de dinheiro não autorizadas sem o conhecimento da vítima.
Os pesquisadores relatam que acessaram o painel Command-and-Control (C2) do ToxicPanda. Nessa interface em chinês, os operadores podem visualizar uma lista de dispositivos infectados, incluindo detalhes de modelo e localização, e até mesmo removê-los da botnet. O painel também permite que os operadores solicitem acesso remoto em tempo real aos dispositivos para executar atividades ODF.
O ToxicPanda pode estar em Desenvolvimento Inicial pelos Cibercriminosos
O ToxicPanda ainda precisa exibir capacidades mais sofisticadas ou distintas que tornariam sua análise mais desafiadora. No entanto, elementos como dados de registro, código não utilizado e arquivos de depuração indicam que o malware pode estar nos estágios iniciais de desenvolvimento ou passando por uma refatoração significativa de código, especialmente considerando suas similaridades com o TGToxic.
